none
Audit Colection Server уменьшить кол-во снимаемой информации RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти

    Доброго дня.

    Есть SCOM2012R2 установлен ACS на один из сервреов управления, снимаю показания с контроллеров домена (5 сервереов).

    Очень часто получаю алерт "SQL DB Engine 2012 Page Life Expectancy is too low". при просмотре монитора производительности - оччень сильно загружены два диска с базой dbAuditData и ее лог.

    На этом же сервере SQL находится и база OperationsManager.

    Кто подскажет где посмотреть всю снимаемую информацию и как можно ее уменьшить кол-во?

    Александр Гавриленков

    19 августа 2015 г. 11:49
    |

Ответы

  • Question
    Нужно войти
    0
    Нужно войти

    Для начала - нужно заранее рассчитывать нагрузку и выбирать подходящую архитектуру решения, в том числе и архитектуру SQL Server (это вообще самое важное):

    По умолчанию ACS записывает в базу данных все события из журналов безопасности. Посмотреть перечень событий можно в отчетах ACS, можно также использовать специальные отчеты по статистике ACS, например ACS “Event Count” reports.

    Можно настроить фильтрацию сообщений, чтобы отбрасывать ненужные события (не писать их в БД). Для настройки ACS используется специальная утилита: AdtAdmin.exe /SetQuery

    Рекомендуется отфильтровывать те события, которые собираются в большом количестве, но не используются в вашей аналитике (т.е. по факту на данный момент они не нужны).

    20 августа 2015 г. 7:44
    |

Все ответы

  • Question
    Нужно войти
    0
    Нужно войти

    Для начала - нужно заранее рассчитывать нагрузку и выбирать подходящую архитектуру решения, в том числе и архитектуру SQL Server (это вообще самое важное):

    По умолчанию ACS записывает в базу данных все события из журналов безопасности. Посмотреть перечень событий можно в отчетах ACS, можно также использовать специальные отчеты по статистике ACS, например ACS “Event Count” reports.

    Можно настроить фильтрацию сообщений, чтобы отбрасывать ненужные события (не писать их в БД). Для настройки ACS используется специальная утилита: AdtAdmin.exe /SetQuery

    Рекомендуется отфильтровывать те события, которые собираются в большом количестве, но не используются в вашей аналитике (т.е. по факту на данный момент они не нужны).

    20 августа 2015 г. 7:44
    |
  • Question
    Нужно войти
    0
    Нужно войти

    нашел описание какой фильтр применить:

    adtadmin -setquery -query:”SELECT * FROM AdtsEvent WHERE NOT ((HeaderUser=’SYSTEM’ OR HeaderUser=’LOCAL SERVICE’ OR HeaderUser=’NETWORK SERVICE’) OR (EventId=538 OR EventId=566 OR EventId=672 OR EventId=680) OR (EventId>=541 AND EventId<=547))”

    Но в ответ пишет: "The system cannot find the file specified.".

    выполняю команду из под администратора в CMD на сервере где установлен коллектор ACS.

    Где ошибка?

    Александр Гавриленков

    20 августа 2015 г. 12:24
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Из того, что бросается в глаза - кавычки не правильные ([] вместо ["]), может поэтому...

    Вот ещё хорошая статья по теме


    • Изменено PeTrProduct 20 августа 2015 г. 15:30
    20 августа 2015 г. 15:30
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Вроде бы решил проблему, запустил на коллекторе фильтр, ограничил кол-во записываемых данных в базу, после чего "Page Life Expectancy" начал расти! 

    Вот какой фильтр применил: 

    C:\Windows\System32\Security\AdtServer>AdtAdmin.exe -setquery -query:"select * f

    rom AdtsEvent WHERE NOT (EVENTID=5156 OR EventID=5145 OR EventID=4768 OR EventID

    =4624 OR EventID=4634 OR EventID=4769 OR EventID=4656 OR EventID=4776 OR EventID

    =5158 OR EventID=4658 OR EventID=5140 OR EventID=4661 OR EventID=4672)"

    Спасибо всем за помощь!!!

    Александр Гавриленков

    21 августа 2015 г. 6:01
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Вчера на коллекторе применил фильтр, все было хорошо, а сегодня уже не работает ADTADMIN:


    Глянул на размер - 0Байт, что за ерунда?

    Кто виноват и что делать?

    Александр Гавриленков


    21 августа 2015 г. 10:51
    |